Pontos de aplicativo de filtro de firewall stateless

Depois de definir o filtro de firewall, você deve aplicá-lo a um ponto de aplicativo. Esses pontos de aplicativo incluem interfaces lógicas, interfaces físicas, interfaces de roteamento e instâncias de roteamento.

Na maioria dos casos, você pode aplicar um filtro de firewall como um filtro de entrada ou um filtro de saída , ou ambos ao mesmo tempo. Os filtros de entrada tomam medidas sobre os pacotes que estão sendo recebidos na interface especificada, enquanto os filtros de saída tomam medidas em pacotes que são transmitidos pela interface especificada.

Normalmente, você aplica um filtro com vários termos em uma única interface lógica, para tráfego de entrada, tráfego de saída ou ambos. No entanto, há momentos em que você pode querer acorrentar vários filtros de firewall (com termos únicos ou múltiplos) e aplicá-los a uma interface. Você usa uma lista de entrada para aplicar vários filtros de firewall ao tráfego de entrada em uma interface. Você usa uma lista de saída para aplicar vários filtros de firewall ao tráfego de saída em uma interface. Você pode incluir até 16 filtros em uma lista de entrada ou uma lista de saída.

Não há limite para o número de filtros e contadores que você pode definir, mas existem algumas considerações práticas. Mais contadores exigem mais termos, e um grande número de termos pode levar muito tempo para ser processado durante uma operação de compromisso. No entanto, filtros com mais de 4000 termos e contadores foram implementados com sucesso.

Tabela 1 descreve cada ponto ao qual você pode aplicar um filtro de firewall. Para cada ponto de aplicativo, a tabela descreve os tipos de filtros de firewall suportados naquele ponto, o nível de hierarquia do roteador (ou switch) no qual o filtro pode ser aplicado e quaisquer limitações específicas da plataforma.

Tabela 1: Resumo da configuração e do aplicativo do filtro de firewall stateless
Tipo de filtro	Ponto de aplicativo	Restrições
Filtro de firewall stateless Configure incluindo a declaração do `filter filter-name` nível de `[edit firewall]` hierarquia: filter `filter-name`; Nota: Se você não incluir a `family` declaração, o filtro de firewall processa o tráfego IPv4 por padrão.	Interface lógica Aplique no nível de `[edit interfaces interface-name unit unit-number family inet]` hierarquia, incluindo as declarações ou `output filter-name` as `input filter-name` declarações: filter { input `filter-name`; output `filter-name`; } Nota: Um filtro configurado com a família de protocolo implícito `inet` não pode ser incluído em uma lista de filtros de entrada ou em uma lista de filtros de saída. Nota: No T4000 Tipo 5 FPCs, um filtro anexado no ponto de aplicação de Camada 2 (ou seja, no nível de interface lógica) é incapaz de combinar com a classe de encaminhamento de um pacote que é definido por um classificador de Camada 3, como DSCP, DSCP V6 `inet-precedence`e `mpls-exp`.	Com suporte para os seguintes roteadores: Roteadores da Série T Roteadores M320 Roteadores M7i com CFEB aprimorado (CFEB-e) Roteadores M10i com o CFEB-e aprimorado Também é compatível com os seguintes Concentradores modulares de portas (MPCs) em roteadores da Série MX: Ethernet MPC de 10 Gigabits 60 Gigabit Ethernet Enfileiramento MPC 60 Gigabit Ethernet Enhanced Enfileiramento MPC Ethernet MPC de 100 Gigabits Também suportado em switches da Série EX
Filtro de firewall stateless Configure no nível de `[edit firewall family family-name]` hierarquia, incluindo a seguinte declaração: filter `filter-name`; Pode `family-name` ser qualquer uma das seguintes famílias de protocolo: `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Família de protocolo em uma interface lógica Aplique-se no nível de `[edit interfaces interface-name unit unit-number family family-name]` hierarquia, incluindo a `input`, `input-list`, `output`ou `output-list` declarações: filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	A família `bridge` de protocolo é apoiada apenas em roteadores da Série MX.
Filtro de firewall stateless	Interface de loopback do Mecanismo de Roteamento
Filtro de serviço Configure no nível de `[edit firewall family (inet \| inet6)]` hierarquia, incluindo a seguinte declaração: service-filter `service-filter-name`;	Família `inet` ou `inet6` em uma interface lógica Aplique no nível de `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hierarquia usando a `service-set` declaração para aplicar um filtro de serviço como um filtro de entrada ou saída a um conjunto de serviços: service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configure um conjunto de serviços no nível de `[edit services]` hierarquia, incluindo a seguinte declaração: `service-set service-set-name`;	Suporte apenas para PICs de serviços adaptativos (AS) e multisserviços (MS).
Filtro de pós-serviço Configure no nível de `[edit firewall family (inet \| inet6)]` hierarquia, incluindo a seguinte declaração: service-filter `service-filter-name`;	Família `inet` ou `inet6` em uma interface lógica Aplique no nível de `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hierarquia ao incluir a `post-service-filter` declaração para aplicar um filtro de serviço como filtro de entrada: service { input { post-service-filter `filter-name`; } }	Um filtro pós-serviço é aplicado ao retorno do tráfego à interface de serviços após o processamento do serviço. O filtro só é aplicado se um conjunto de serviços estiver configurado e selecionado.
Filtro simples Configure no nível de `[edit firewall family inet]` hierarquia, incluindo a seguinte declaração: simple-filter `filter-name`	Família `inet` em uma interface lógica Aplique no nível de `[edit interfaces interface-name unit unit-number family inet]` hierarquia, incluindo a seguinte declaração: simple-filter `simple-filter-name`;	Filtros simples só podem ser aplicados como filtros de entrada. Somente nas seguintes plataformas: PICs de fila inteligente de Ethernet (IQ2) gigabit nos roteadores M120, M320 e Série T. Concentradores de portas densas de enfileiramento aprimorados (EQ DPC) em roteadores da Série MX (e switches da Série EX).
Filtro de verificação de encaminhamento reverso de pacotes (RPF) Configurado no nível de `[edit firewall family (inet \| inet6)]` hierarquia, incluindo a seguinte declaração: filter `filter-name`;	Família `inet` ou `inet6` em uma interface lógica Aplique no nível de `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hierarquia, incluindo a seguinte declaração: rpf-check fail-filter `filter-name` para aplicar o filtro de firewall sem estado como um filtro de verificação de RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Suportado apenas em roteadores da Série MX e switches da Série EX.